這一研究報(bào)告來自移動(dòng)安全技術(shù)公司Bluebox Security。該公司的研究人員表示，問題出在Android檢查應(yīng)用驗(yàn)證代碼的方式上。黑客可以通過制造一個(gè)冒牌的驗(yàn)證代碼，令他們偽裝成為一個(gè)具有良好口碑的應(yīng)用程序。這一轉(zhuǎn)變可以讓他們在移動(dòng)設(shè)備中進(jìn)入自由，并竊取數(shù)據(jù)。

　　Bluebox Security首席技術(shù)官杰夫?弗里斯托(Jeff Forristal)說，“我們已經(jīng)基本上發(fā)現(xiàn)了創(chuàng)建假冒‘身份證’的方法，多個(gè)不同的領(lǐng)域都存在創(chuàng)建假冒身份的問題?！?

　　假冒身份缺陷影響包括Android 2.1(發(fā)布時(shí)間是2010年1月份)及以上版本，Android 4.4 KitKat已經(jīng)修正了該缺陷。市場研究公司Gartner的數(shù)據(jù)顯示，在2012-2013年，Android設(shè)備銷量約為14億，預(yù)計(jì)今年Android設(shè)備銷量將達(dá)到11.7億。這些數(shù)據(jù)從側(cè)面反映了假冒身份缺陷的影響范圍之廣。

　　假冒身份缺陷的披露表明了安全研究人員和Google合作披露安全缺陷的方式，它還表明了修正Android缺陷的復(fù)雜性，因?yàn)檠a(bǔ)丁軟件不僅需要得到Google，還需要得到應(yīng)用開發(fā)商和設(shè)備廠商的參與。

　　弗里斯托稱，Bluebox 3月末完成了假冒身份缺陷的研究工作，3月31日向Google通報(bào)了該缺陷。Android安全團(tuán)隊(duì)4月份開發(fā)了補(bǔ)丁軟件，并發(fā)布給廠商，廠商有90天時(shí)間部署補(bǔ)丁軟件，而后Bluebox才對(duì)外披露了該缺陷。Bluebox對(duì)約40款A(yù)ndroid設(shè)備進(jìn)行了測試，發(fā)現(xiàn)迄今為止只有一家廠商部署了修正假冒身份缺陷的補(bǔ)丁軟件。

　　對(duì)于Bluebox Security發(fā)現(xiàn)的安全漏洞，谷歌表示已經(jīng)向所有的合作伙伴以及Android開放源代碼項(xiàng)目發(fā)送補(bǔ)丁。此外，谷歌在聲明中還稱：“我們已經(jīng)掃描了Google Play中所有提交的應(yīng)用，目前尚無發(fā)現(xiàn)有人利用這一漏洞的證據(jù)?！?